01-0.中国银联电话终端预评估、方案评估送检说明(2010年)

合集下载

银联认证

银联认证
第十七条 每次检测结束后,检测机构负责向资格认证办公室及 时报送检测报告。
第四节 发证和公布
第十八条 资格认证办公室通过对申请材料和检测报告进行全 面审核,在两个月内形成产品认证结论。对于通过认证的产品,资格 认证办公室负责向生产企业下发《中国银联电话支付终端产品认证结 果通知书》(附件四),并颁发《中国银联电话支付终端终端产品入网 许可证》(附件五),同时向社会公布。
年月日止
证书编号:XXXXXX 发证单位:
年月日
13
附件六
中国银联电话支付终端产品质量监督保证书
银联标识产品企业资格认证办公室:
我公司在持有《
终端产品入网许可证》期间,
保证严格遵守中国银联相关的规定和要求,承诺如下:
一、保证通过认证终端的产品质量和安全性;
二、保证按照认证申请材料中的说明提供售后服务和技术支持,
第二十二条 申请换发产品入网许可证的生产企业,应在有效期 到期之日前二个月向资格认证办公室提出申请,认证流程与初次认证 一致。
5
第二十三条 逾期未提出换发入网许可证申请的,视为自动放 弃,资格认证办公室将取消其入网许可证并向社会公布。
第四章 监督管理
第二十四条 对已通过产品认证的终端产品,在证书有效期内, 资格认证办公室将对该产品质量、安全性及售后服务情况进行不定期 抽查,并有权对批量生产的产品随机抽样送检。
2、产品出现质量或安全问题,但影响较轻或损失较少的,资格 认证办公室将给予书面警告,并下达整改通知限期整改;
6
3、产品出现下列情况之一的,资格认证办公室将取消其入网资 格。生产企业在 6 个月内不得对该种产品再次申请认证。
(1)提供虚假材料骗取入网许可证的; (2)出现严重的质量和安全问题,造成较大影响或损失的; (3)连续两次抽检不合格的; (4)不配合资格认证办公室认证管理,多次书面警告后拒不改 正的。

银联卡业务运作规章(第四卷)2015年10月版

银联卡业务运作规章(第四卷)2015年10月版
(自 2016 年 4 月 15 日起适用)争议协商发起方应在 争议裁判申请前(不含提交当日,且不得少于五个工作日) 向备案答复机构提交,要求备案答复机构答复的时限不得 少于五个工作日。 增设:备案责任
(自 2016 年 4 月 15 日起适用)争议协商备案答复机 构应在申请机构要求时限内回复。未在时限内回复、或回 复情况(疑议业务是否合规)与事实不符的,将在争议裁 判阶段记为技术违规;仅回复疑议业务是否合规、未提供 相关支持证据的,不记为技术违规。
程提交/回复时作为支持文档或信息提供的资料,须在流
程提交/回复时一并提供,在流程之后通过其他途径补充
提供的,不得以此对抗接收机构合规权利;未按要求在差
错流程中提供的必备支持文档或信息,进入争议后不纳入
裁判审理范围,对应差错处理流程记技术违规。第 4 条另
差错争议业务规则
© 2014-2016 中国银联 版权所有
差错争议业务规则
© 2014-2016 中国银联 版权所有
银联卡业务运作规章
第四卷
修订清单
(2015 年 4 月版)
除特别说明外,下列修订内容自 2015 年 4 月 30 日起生效。
序号 目录
原条款
修订内容
1
附录 1 原因码 6303
增加:确认查询责任
收单机构无法提供交易凭证的,无论交易是否成功,应
务平台或其他方式将应承 其他方式将应承担款项支付给争议对方,并主动向中国银
担款项支付给争议对方, 联缴纳技术违规处理费。
并主动向中国银联缴纳技
术违规处理费。
8
附录 1 差错处理原因使用要求
增补:
(具体略)
(前略)
3、(自 2016 年 4 月 15 日起适用)具体原因码的“提

02-1.中国银联电话支付终端II型测试项目

02-1.中国银联电话支付终端II型测试项目
122.
更新菜单参数
123.
更新功能提示信息
124.
更新操作提示信息
125.
更新首页信息
126.
更新打印模板记录
127.
注销TSAM卡
128.
存储帐单
129.
更新错误提示信息
130.
存储短信
131.
打印数据
132.
显示结果信息
133.
连接中心(建链)
134.
发送数据
135.
接收数据
136.
挂机
137.
254.
MAC
Ⅵ.Ⅴ余额查询
Ⅵ.Ⅴ.Ⅰ余额查询交易流程测试
255.
正常交易流程测试
256.
异常交易流程测试
257.
交易界面测试
Ⅵ.Ⅴ.Ⅱ余额查询数据域与数据元测试
258.
报文类型
259.
结束标志

程序版本号
261.
应用版本号
262.
来电显示标志
263.
PSAM卡号
264.
系统日期
265.
系统时间
Ⅷ.Ⅰ物理安全
331.
入侵检测机制
332.
多个独立的安全机制
333.
内部访问响应
334.
异常环境的安全性
335.
敏感功能或信息保护
336.
PIN输入过程中可听到的音调
337.
PIN输入过程中的监控
338.
密钥识别分析
339.
数据输入提示信息
340.
防偷窥保护
341.
独特外观测试
342.
磁条读卡器
Ⅷ.Ⅱ逻辑安全

中国银联离线仿真用户使用手册(完整版)

中国银联离线仿真用户使用手册(完整版)

中国银联信息处理中心中国银联离线测试仿真系统用户操作手册(完整版)第1.03版中国银联股份有限公司二○一一年八月一日目录1编写说明--------------------------------------------------------------- 11.1术语、缩略语及定义----------------------------------------------- 11.1.1术语------------------------------------------------------------- 1 2概述------------------------------------------------------------------- 22.1主要功能--------------------------------------------------------- 2 2.2基本概念和设计思想----------------------------------------------- 33安装------------------------------------------------------------------- 4 3.1安装环境准备----------------------------------------------------- 43.1.1支持的操作系统--------------------------------------------------- 43.1.2对系统资源的要求------------------------------------------------- 43.1.3对系统字体和分辨率设置的要求------------------------------------- 43.1.4加密狗驱动的安装------------------------------------------------- 4 3.2安装说明--------------------------------------------------------- 4 4联机测试使用说明 ------------------------------------------------------- 54.1主界面----------------------------------------------------------- 5 4.2参数配置管理----------------------------------------------------- 64.2.1基本配置--------------------------------------------------------- 64.2.2通讯参数--------------------------------------------------------- 84.2.3密钥信息--------------------------------------------------------- 94.2.4机构参数--------------------------------------------------------- 94.2.5帐户信息-------------------------------------------------------- 104.2.6引用常数-------------------------------------------------------- 114.2.7公共支付-------------------------------------------------------- 124.3建立通讯连接---------------------------------------------------- 13 4.4功能测试-------------------------------------------------------- 134.4.1发卡方交易测试-------------------------------------------------- 134.4.2受理方交易测试-------------------------------------------------- 154.4.3测试用例集管理-------------------------------------------------- 164.4.4应答路由设置---------------------------------------------------- 204.5功能测试示例---------------------------------------------------- 244.5.1测试用例集配置-------------------------------------------------- 244.5.2应答路由配置---------------------------------------------------- 324.5.3联机测试-------------------------------------------------------- 41 4.6认证测试-------------------------------------------------------- 434.6.1新建认证测试案例集---------------------------------------------- 434.6.2练习测试与认证测试---------------------------------------------- 454.6.3受理方案例测试-------------------------------------------------- 464.6.4发卡方案例测试-------------------------------------------------- 464.6.5重新开始认证测试------------------------------------------------ 474.6.6生成报告-------------------------------------------------------- 474.7认证测试示例---------------------------------------------------- 47 4.8系统日志-------------------------------------------------------- 555性能测试使用说明 ------------------------------------------------------ 565.1性能指标-------------------------------------------------------- 56 5.2发卡机构进行压力测试-------------------------------------------- 575.2.1数据准备(功能测试) ---------------------------------------------- 575.2.2参数配置-------------------------------------------------------- 575.2.3开始测试-------------------------------------------------------- 59 5.3受理机构进行压力测试-------------------------------------------- 605.3.1数据准备(功能测试) ---------------------------------------------- 605.3.2参数配置-------------------------------------------------------- 615.3.3开始测试-------------------------------------------------------- 615.4性能测试示例---------------------------------------------------- 625.4.1发卡机构进行压力测试-------------------------------------------- 625.4.2受理机构进行压力测试-------------------------------------------- 66 6流方式文件传输使用说明 ------------------------------------------------ 666.1流方式文件传输-------------------------------------------------- 66 7特定业务的离线测试方法 ------------------------------------------------ 687.1固话业务-------------------------------------------------------- 687.1.1软件和案例集版本要求-------------------------------------------- 687.1.2测试方法-------------------------------------------------------- 69 7.2无卡业务-------------------------------------------------------- 707.2.1软件和案例集版本要求-------------------------------------------- 707.2.2测试方法-------------------------------------------------------- 71 8常见问题-------------------------------------------------------------- 73 9附录1 域取值说明------------------------------------------------------ 78 10附录2 案例集和应答路由的导出与导入 ------------------------------------ 9210.1案例集的导出---------------------------------------------------- 92 10.2案例集的导入---------------------------------------------------- 93 10.3应答路由的导出-------------------------------------------------- 93 10.4应答路由的导入-------------------------------------------------- 931 编写说明1.1 术语、缩略语及定义1.1.1 术语列表和列:如图所示为列表,描述为“测试案例配置信息”列表,其中列表中每一列数据称为列,如获取方式一列描述为“获取方式”列。

中国银联境内机构PBOC卡业务入网联机测试案例

中国银联境内机构PBOC卡业务入网联机测试案例

中国银联境内成员机构PBOC卡业务入网联机测试案例集目录1概述 (1)2测试案例编写说明 (1)2.1案例组织 (1)2.2测试卡状态说明 (2)2.3测试基本要求 (2)2.4测试结果判断标准与方法 (4)3PBOC卡业务联机测试案例 (5)3.1PBOC电子钱包/存折标准IC卡交易入网联机测试案例 (5)3.1.1受理方联机测试案例 (5)3.1.2发卡方联机测试案例 (8)3.2PBOC借贷记标准IC卡成员机构入网联机测试案例 (11)3.2.1受理机构入网联机测试案例 (11)3.2.2发卡机构入网联机测试案例 (36)4基于PBOC借贷记卡电子现金和非接触业务联机测试案例 (57)4.1.1受理机构入网联机测试案例 (57)4.1.2发卡机构入网联机测试案例 (62)5磁条卡回归测试案例 (66)5.1.1受理机构入网联机测试案例 (66)5.1.2发卡机构入网联机测试案例 (69)1概述本部分介绍了境内入网机构使用中国银联所提供的联机测试环境进行《银行卡联网联合技术规范V2.0》(以下简称2.0版)境内PBOC借贷记业务、基于PBOC借贷记卡的电子现金和非接触业务测试的测试案例集。

入网机构在进行PBOC交易测试以前,必需已经是遵循银联2.0版技术规范的入网机构。

PBOC 借贷记、基于PBOC借贷记卡的电子现金和非接触业务交易入网测试包括离线测试和联机测试两部分,本文档仅包含联机测试阶段的PBOC借贷记、基于PBOC借贷记卡的电子现金和非接触业务交易的测试案例集。

离线测试:对于所有机构申请开通的交易,均要求通过对应案例的测试;离线测试结束后,入网机构将测试案例执行过程中银联仿真生成的交易日志文件,提交中国银联评估,通过之后,可以安排计划进入联机测试。

联机测试:测试顺序可由测试人员安排,可分为几个清算日的测试,建议首先完成PBOC联机交易测试、然后完成磁条卡传统交易回归测试、最后进行日终清算的测试;为尽量缩短测试周期,差错处理测试可以在每天日切前完成一部分。

中国银联,规范

中国银联,规范

竭诚为您提供优质文档/双击可除中国银联,规范篇一:银联pos终端规范目录编写说明................................................. . (4)1.范围................................................. .. (5)2.引用标准................................................. . (6)3.定义................................................. .. (7)4.pos终端硬件要求................................................. (9)4.1显示屏................................................. . (9)4.2键盘................................................. (9)4.3密码键盘................................................. .. (9)4.4磁条阅读器................................................. (9)4.5交易存储量................................................. (9)4.6通讯................................................. (9)4.7打印机................................................. (10)4.8电源................................................. (10)4.9安全性................................................. . (10)4.10电磁兼容性................................................. .. (10)4.11可靠性................................................. (10)5.pos终端软件要求................................................. .. (11)5.1系统软件................................................. . (11)5.2二次开发平台................................................. (11)5.3安全加密................................................. . (11)6.pos终端安全要求................................................. .. (12)6.1操作员密码................................................. .. (12)6.2pos终端密钥管理................................................. (12)7.pos终端管理功能................................................. .. (13)7.1系统管理................................................. .. (13)7.2操作员管理................................................. (15)7.3应用管理................................................. .. (16)8.pos终端交易功能................................................. .. (20)8.1联线交易功能................................................. . (20)8.2离线交易功能................................................. . (22)9.pos终端交易处理流程................................................. . (23)9.1余额查询................................................. .. (23)9.2消费................................................. (24)9.3消费撤消................................................. (25)9.4退货................................................. (26)9.5预授权................................................. . (27)9.6预授权撤消................................................. (28)9.7预授权完成................................................. (29)9.8预授权完成撤消................................................. .. (30)9.9离线结算................................................. .. (31)9.10结算调整................................................. . (32)9.11批结算................................................. (33)10pos终端报文格式................................................. .. (34)11pos终端凭证要素及格式要求................................................. ....3511.1交易凭证要素................................................. ..............3511.2签购单要求及参考样式................................................. ......3511.2结算总计单参考样式................................................. ........3811.3结算明细单参考样式................................................. ........3811.5交易凭证尺寸要求(套打)............................................... . (39)附1:pos终端mac的算法................................................. (40)附2:对应答码的处理................................................. (42)编写说明本规范在编写过程中主要依据《银行磁条卡销售点终端(pos)规范》(jR/t0001-20xx),同时借鉴了上海中心、广东中心、深圳中心、杭州中心等几个区域中心的实践经验。

银联交易响应码

银联交易响应码
31
Banknotsupportedbyswitch
Decline
交换中心不支持的银行
中心无法在其各类机构信息表中查找到该机构信息
33
Expiredcard
Decline
过期的卡
34
Suspectedfraud
Pick-up
有作弊嫌疑
35
Cardacceptorcontactsecurity
Pick-up
Decline
PIN格式错
PIN格式错
A0
MACfailed
Decline
MAC鉴别失败
MAC校验失败
A1
Decline
转账货币不一致
A2
Successfultransactionwithfault
Approve
交换中心转发了原交易请求,但未收到发卡方应答时,交换中心直接向受理方应答为有缺陷的成功交易
13
Invalidamount
Decline
无效金额
理应出现有效金额的交易中,金额域填0
14
Invalidcardnumber(nosuchnumber)
Decline
无效卡号(无此账号)
1、发卡方无此主账号2、应答主账号与请求主账号不匹配3、在找到原始交易的情况下,关联交易主账号与原始交易主账号不匹配4、卡号校验位校验不正确
A5
Successfultransa拒绝时,对关联的确认交易的承兑为有缺陷的成功交易
具体使用条件请参见《银行卡联网联合技术规范V2.0》第一部分《交易处理说明》中对存款和转账的异常描述
A6
Successfultransactionwithfault
Approve

01.银联芯片卡嵌入式软件安全测试送检指南v1.0

01.银联芯片卡嵌入式软件安全测试送检指南v1.0

01.银联芯⽚卡嵌⼊式软件安全测试送检指南v1.0银联芯⽚卡嵌⼊式软件安全测试送检指南v1.0银⾏卡检测中⼼2011年7⽉⽬次前⾔ (3)⼀依据标准 (4)⼆送检要求 (4)1. 卡⽚要求 (4)2. 测试需要提交的⽂档资料 (4)3. 随机数相关要求 (5)三技术要求 (5)1. 安全审计 (5)2. 数据空间暴⼒破解 (6)3. 密钥功能 (6)4. 数据传输保护 (6)5. 数据访问控制 (6)6. 环境压⼒ (6)7. ⽂件结构控制 (7)8. 错误注⼊ (7)9. 信息泄露 (7)10. 评估对象ID (7)11. 初始状态 (8)12. ⽣命周期功能 (8)13. 逻辑保护 (8)14. 多应⽤ (8)15. 物理防护 (8)16. 重放 (9)17. 安全通讯 (9)18. 启动序列 (9)19. 多次重复操作 (9)附录1 ⽣命周期 (10)修改记录及说明 (11)前⾔本检测指南以《中国银联芯⽚安全规范第⼆部分:嵌⼊式软件规范》为基础,根据相关规范的要求,对中国银联芯⽚安全中嵌⼊式软件的安全要求做出了规定,包括安全审计、数据空间暴⼒破解、密钥功能、数据传输保护等内容。

本指南的起草单位:银⾏卡检测中⼼。

银联芯⽚卡嵌⼊式软件安全测试送检指南⼀依据标准《中国银联芯⽚安全规范第⼆部分:嵌⼊式软件规范》⼆送检要求1.卡⽚要求(1) IC卡30张(2)各⽣命周期的样卡各5张,共7个⽣命周期,具体参见附录12.测试需要提交的⽂档资料(1)卡⽚个⼈化说明(2)芯⽚安全测试报告(银⾏卡检测中⼼出具的芯⽚安全报告或者国际CC相关的芯⽚安全报告)(3)设计⽂档及源代码(4)指令集说明IC卡⽀持的指令列表IC卡⽀持的各条指令参数、⽤途及返回状态码(5)防攻击机制说明IC卡芯⽚硬件提供的防攻击机制,详细说明⼯作过程、原理及有效性IC卡软件所采⽤的防攻击机制,详细说明⼯作过程、原理及有效性(6)完整填写的《客户调查问卷》(7)其它⽂档材料○1安全⽬标⽂档:介绍:a.评估对象标识;b.评估对象总体概述:应描述评估对象的类型,所需要的硬件/软件/固件,评估对象的使⽤和主要安全特性;c.评估对象详细描述包括物理部分和逻辑部分,包括评估对象是开放架构还是封闭架构,包含⼏个应⽤,如果是开放平台是否可以继续装载新的应⽤等;安全问题定义:评估对象所能探测到的问题;评估对象安全说明:如何达到客户调查问卷的所有安全要求,对照客户调查问卷中的问题加以说明,并详细说明相关安全机制实现的具体描述所对应的开发⽂档的章节。

4号附件2《中国银联POS终端规范》2006年修订说明

4号附件2《中国银联POS终端规范》2006年修订说明

附件2:《中国银联POS终端规范》2006年修订说明2005年至2006年,为贯彻《业务规则》,支持IC卡及其他新业务的发展,我部组织对《中国银联POS终端规范》进行了修订。

现将有关情况说明如下:1 修订内容简介《中国银联POS终端规范》本次主要修订了如下内容:根据《业务规则》,增加了追加预授权(该交易暂不开通)、预授权完成(离线)交易的有关内容,修改了退货的有关内容。

(与原规范兼容)增加PBOC 电子钱包和借贷记IC卡交易的有关内容。

(与原规范兼容)增加支持双倍长密钥算法。

(与原规范兼容)统一了操作界面和操作流程。

(根据业务规则修改,对原规范的操作流程做了一定调整)修改了套打签购单格式。

(根据IC卡业务修改,对原规范中的打印格式进行了一定的调整)增加支持TMS功能(该交易为可选交易,根据需要开通,与原规范兼容)增加分期付款、折扣交易的有关内容(该两交易为可选交易,暂不开通,与原规范兼容)修订内容在最大限度上与原规范兼容。

2 修订要点说明2.1 术语和定义(第3章)增加IC卡、TMS、分期付款、折扣相关术语。

2.2 POS终端硬件要求(第4章)1) 要求磁条卡阅读器能正确读取2750奥斯特的高抗磁条卡。

(4.4节)2) 磁条阅读器在读取卡号时应优先通过磁条卡的第二磁道数据读取,如第二磁道数据无法正常读取,则从第三磁道读取。

(4.4节)3) 增加IC卡阅读器、终端类型要求。

(4.5节、4.13节)2.3 POS终端软件要求(第5章)要求终端提供二次开发专用接口,以便各地进行特色业务程序开发。

(5.2节)2.4 POS终端安全要求(第6章)1) 规定了操作员代码及密码。

(6.1节、7.2节)2) 规定了终端应支持双倍长密钥。

(6.2.3节)3) 规定了IC卡公共密钥管理相关内容。

(6.3-6.5节)2.5 POS终端管理功能(第7章)1) 在终端自检、参数管理、应用管理等方面增加IC卡相关要求。

(7.1-7.3节)2) 规定各级操作员代码、密码要求及权限。

QCUP 040-2010 银联卡受理终端PIN输入设备安全规范

QCUP 040-2010 银联卡受理终端PIN输入设备安全规范
是消息来源正确性鉴别的数据。
3.12 脱机 PIN 验证 Offline PIN Verificaiton
一种持卡人身份的验证方式,该方式通过终端和IC卡的交互来比较持卡人输入的PIN与IC卡芯片内 存储的PIN是否一致来验证持卡人身份。
3.13 联机 PIN 验证 Online PIN Verificaiton
3.18 工作密钥 Working Key;WK
对通信各方收发的数据进行加密的密钥。
3.19 防攻击 Tamper-evident
能够提供被攻击证据的特性。
2
Q/CUP 040—2010
3.20 抗攻击 Tamper-resistant
提供物理保护以抵御攻击的特性。 3.21
反攻击 Tamper-responsive 针对已检测到的攻击自动反击以阻止攻击的特性。 3.22
《银联卡密钥安全管理规则(【磁条卡部分】V1.0)》 ISO 9564-1 银行业务-个人识别码管理和安全-第一部分:PIN保护策略和技术 ISO 9564-2 银行业务-个人识别码管理和安全-第二部分:核准的PIN加密算法 ISO 13491-1 银行业-安全加密设备(零售)-第一部分:概念、需求以及评估方法 ISO 13491-2 银行业-安全加密设备(零售)-第二部分:用于磁条卡系统的设备安全符合性检测 项目 Payment Card Industry (PCI) POS PIN Entry Device (PED) DTR
I
Q/CUP 040—2010
1 范围
本规范适用于所有受理银联卡终端的完成PIN输入的设备或者模块,是对该类设备准入的基本安全 要求。
2 规范性引用文件
下列文件中的条款通过本标准的引用而成为本标准的条款。凡标注日期的引用文件,对于标注日期 之后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准,但是,鼓励根据本标准达成协议 的各方研究是否可使用这些引用文件的最新版本。凡不标注日期的引用文件,其最新版本均适用于本标 准。

中国银联POS终端消息域说明

中国银联POS终端消息域说明

中国银联POS终端消息域说明中国银联POS终端消息域说明2002年5月中国银联POS终端消息域说明III 1-2中国银联POS终端消息域说明目录1. 说明...................................................................... (2)2. 数据类型 ..................................................................... .. (3)3. 数据元名称及其定义 .....................................................................4 3.1 消息类型 ..................................................................... ............................. 4 3.2 域2 ...................................................................... ..................................... 7 3.3 域3 ...................................................................... ..................................... 8 3.4 域4 ...................................................................... .................................... 11 3.5 域11 ..................................................................... ...................................12 3.6 域12 ..................................................................... ...................................13 3.7 域13 ..................................................................... ...................................14 3.8 域14 ..................................................................... ...................................15 3.9 域15 ..................................................................... ...................................16 3.10 域22 ..................................................................... ................................17 3.11 域25 ..................................................................... ................................18 3.12 域26 ..................................................................... ................................19 3.13 域32 ..................................................................... ................................20 3.14 域35 ..................................................................... ................................21 3.15 域36 ..................................................................... ................................22 3.16 域37 ..................................................................... ................................23 3.17 域38 ..................................................................... ................................24 3.18 域39 ..................................................................... ................................25 3.19 域41 ..................................................................... ................................26 3.20 域42 ..................................................................... ................................27 3.21 域44 ..................................................................... ................................28 3.22 域48 ..................................................................... ................................29 3.23 域49 ..................................................................... ................................32 3.24 域52 ..................................................................... ................................33 3.25 域53 ..................................................................... ................................34 3.26 域54 ..................................................................... ................................35 3.27 域60 ..................................................................... ................................36 3.28 域61 ..................................................................... ................................38 3.29 域62 ..................................................................... ................................39 3.30 域63 ..................................................................... ................................43 3.31 域64 ..................................................................... .. (45)第 1 页共 44 页中国银联POS终端消息域说明1. 说明POS终端与POS中心之间的消息(Message)是根据《ISO 8583:1987 Bank Card Originated Messages — Interchange Message Specifications — Content For Finalcial Transactions》定义的。

银联卡受理终端产品生命周期安全与质量管理指南(发布稿)

银联卡受理终端产品生命周期安全与质量管理指南(发布稿)

文件编号:UPCA-12-02 V1.0 PU银联卡受理终端产品生命周期安全与质量管理指南2017年1月5日发布2017年1月5日实施中国银联股份有限公司发布前言本指南为银联卡受理终端产品设计与生产过程的安全与质量管理提供指导和参考,其编写目的在于引导终端厂商提高产品设计与研发管理水平,在产品生命周期管理过程中建立和实施有效的安全与质量管控制度,确保终端产品的一致性,提高终端厂商的综合竞争力。

本指南是中国银联开展银联卡受理终端产品认证过程中,实施企业现场测评的评价依据。

本指南中的任一条款,如果与国家或地方的法律相违背,应以法律的正式文本为准。

本指南之版权与解释权归属于中国银联,福建联迪商用设备有限公司为本指南的编写提供了支持。

目录目录 ................................................................................................................................................. I II 1 术语和定义. (1)1.1. 产品一致性 (1)1.2. 双重控制 (1)1.3. 知识分割 (1)2 企业资质要求 (1)3 资产管理 (2)4 人员管理 (2)4.1. 组织保障 (2)4.2. 岗位设置 (2)4.3. 员工访问控制 (3)4.4. 员工招聘 (3)4.5. 员工培训 (4)4.6. 员工岗位变更 (4)4.7. 员工离职 (4)5 环境与访问控制安全 (4)5.1. 终端厂商选址 (4)5.2. 终端厂商安全区域设置 (4)5.3. 基础设施安全管理要求 (5)5.3.1. 门禁系统要求 (5)5.3.2. 视频监控要求 (6)5.3.3. 消防系统要求 (6)5.3.4. 网络安全要求 (6)5.3.5. 身份认证工具管理 (7)5.4. 设备管理 (7)5.4.1. 总则 (7)5.4.2. 设备校准、检定 (7)6 产品生命周期管理 (7)6.1. 设计和开发 (7)6.1.1. 总则 (7)6.1.2. 关键件认定、测试要求 (8)6.1.3. 配置管理 (8)6.2. 采购和关键件控制 (9)6.2.1. 采购控制 (9)6.2.2. 关键件的质量控制 (9)6.3. 密钥管理 (10)6.4. 生产过程控制要求 (10)6.5. 不合格品控制 (11)6.6. 成品的存储 (11)6.6.1. 物理环境 (11)6.6.2. 人员进出 (11)6.6.3. 出入库控制 (11)6.7. 产品的运输 (11)6.8.产品的维修 (12)6.9. 产品的报废 (12)7 安全与质量审核 (12)8 安全事件应急响应 (13)1术语和定义1.1.产品一致性1)检验合格入库的产品的标识信息与认证证书一致,所用的关键件、安全框架、原理图与认证样机的关键件、认证提供的安全框架、原理图一致。

银联卡受理自助终端安全评估送检指南v1.0

银联卡受理自助终端安全评估送检指南v1.0

银联卡受理自助终端安全评估测试送检指南v1.0银行卡检测中心2011年6月目次前言 (3)一.依据标准 (4)二.送检要求 (4)三.技术要求 (4)修改记录及说明 (14)前言本检测指南以《银联卡受理终端安全规范第三部分:银联卡受理自助终端安全测试规范》为基础,根据相关规范的要求,对银联卡受理自助终端的安全要求做出了规定,包括核心物理安全评估、核心逻辑安全评估、附加联机安全评估和附加脱机安全评估。

其中核心物理安全评估和核心逻辑安全评估是必须评估的部分,而附加联机安全评估和附加脱机安全评估根据实际情况选择。

本指南的起草单位:银行卡检测中心。

银联卡受理自助终端安全评估送检指南一. 依据标准1.《银联卡受理终端安全规范第三部分:银联卡受理自助终端安全测试规范》Q/CUP007.3—2010)—中国银联2.《银联卡受理终端安全规范第六部分:PIN输入设备安全测试规范》—中国银联二. 送检要求1.请按附件1 《需要提交的材料清单》中的要求,准备相应的材料、测试程序等。

2.请填写附件2 《客户调查问卷》,就产品的一些安全设计等方面认真回答问卷中的每一个问题,并且尽量详细,以方便评估测试。

3.请填写附件3 《自助终端安全要求手册》,说明产品所支持的功能以及一些附件信息等。

附件1 《需要提交的材料清单》附件2 《客户调查问卷》附件3 《自助终端安全要求手册》三. 技术要求1.入侵检测机制测试要点:UPT设备应具备防攻击性和响应机制,保证设备在被攻击后立即处于不可操作状态,并自动立即擦除设备中存放的敏感信息,并要求敏感信息无法恢复。

这些机制可以使设备抵抗如下物理攻击手段(包括但不限于):钻孔、激光、化学溶剂、通过外壳和通风口的探查。

并且要求绕过这些机制插入PIN窃取装置或者获取敏感信息的可行方法至少需要25分(不包括对ICC读卡器的攻击)的攻击分值。

2.独立安全机制测试要点:设备的安全系统由至少两个以上的独立安全机制组成,设备的单个安全机制失效不会危及设备的安全。

中国银联核心交换系统对PBOC_IC卡应该的支持和标 准介绍

中国银联核心交换系统对PBOC_IC卡应该的支持和标 准介绍

ONCYYMMDD??, 双信息机构:采用请求文件上送交易信息, INCYYMMDD?? 一般交 并获得CUPS下发的反馈文件 R/B/C/S 易文件 INDYYMMDD?? AERR( 单/双信息机构:采用一般交易差错流水文 AERRN)/INDYYMMDD?? 件,与磁条卡交易合并 IERR(IERRN) 单/双信息机构:采用IC卡风险信息文件记 ONIYYMMDD?? E/ 录风险信息 INIYYMMDD?? E
卡介质 未知 磁条卡 IC卡 FallBack卡 卡信息读入方式 (F22前两位取值) 02、90 05、95、07、91、 98 02、90 终端读取能力 (F60.2.2) 无关 5、6 5、 6 IC卡条件代码 (F60.2.3) 0 无关 1、2
无法确定卡介质时的取值
报文接口规范——域说明
报文接口规范——域说明
(1)F55的基本信息域内容
子域中文名称 应用密文 密文信息数据 发卡行应用数据 不可预知数 应用交易计数器 终端验证结果 交易日期 子域英文名称 Application Cryptogram Cryptogram Information Data Issuer Application Data Unpredictable Number Application Transaction Counter Terminal Verificaion Result Transaction Date 子域缩写 AC - IAD - ATC TVR - 子域tag标签值 9F26 9F27 9F10 9F37 9F36 95 9A 子域取值所占长度 (单位:字节) 8 1 最大到32 4 2 5 3 子域属性 b b b b b b cn(包含6位有效数 字,格式YYMMDD ) cn(包含2位有效数 字) cn(包含12位有效数 字) cn(包含3位有效数 字) b cn(包含3位有效数 字) cn(包含12位有效数 字) b
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
2、功能性样品4台。
针对客户提交的产品进行全项评估,一旦提交正式评估,资料以及样品不得修改。
评估结束后出具正式评估报告一份。
评估过程中,不与客户进行任何形式的交流。
4
追加评估
客户所选项目
根究客户所选择的评估项目进行相关文档提交。
如果追加测试是所有正式评估未通过项目,通过出正式评估完整报告,不通过出追加评估测试结果。
如果追加测试是部分正式评估未通过项目,出追加测试评估结果。
针对客户未通过项,提供一次邮件咨询交流。
5
培训
规范理解;
评估流程及重点;
提交文档填写
―――
以培训班的形式对客户进行规范理解性的培训。
以培训班的形式对客户进行评估流程以及评估重点的培训。
评估中可提供一次电话或者见面咨询交流。
2
预评估
物理安全
1、《产品安全测试提交列表》中物理相关资料。
2、功能性样品3台。
针对客户提交的产品进行物理安全全项评估。
针对客户未通过项,提供三次邮件咨询交流。
最终出具完整的预评估测试结果一份。
3
正式评估
产品安全评估全部项目
1、《产品安全测试提交列表》中所有资料。
序号
服务
类别
服务项目
提交材料
服务方式
1
方案评估
物理安全
1、产品物理模型,包括外壳、PCB板、以及所有入侵检测机制。
2、产品结构详图,包括外壳的CAD图以及结构组装图。
3、配套交的方案,进行合理性分析,并将结果以文字方式反馈给客户,无正式报告。
相关文档
最新文档